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検証 技術 入門 旧 


ソフ トウ ェ ア 向 け の 取 析 ・ 検 証 ツ ー ル と 


ハー ドウ ェ ア 栓 証 


ーー プロ グラ ム ・ チ ェ ッ カ を シス テム 設計 記述 の 検証 に 利用 する 


ここ で は , 「 プ ログ ラム ・ チ ェ ッ カ ]」 と 呼ば れる , ソフ トウ ェ ア 
と し て の C プロ グラ ム を 検証 する ツー ル を , C 言 語 ベ ー ス の シ 
ステ ム 設 計 記 述 に 適用 し た 場合 の 問題 に つい て 解説 する . この 
ツー ル は , 宮 文 の 間 の 依存 関係 を 解析 する こと に より , 構文 の 
エラ ー や 状態 の デッド ロッ ク , 並列 プロ セス の アク セス 競合 , 
バッ ファ ・ オ ー バ フロ ー な ど を 検出 で きる . (編集 部 ) 


本 連載 で は これ まで , ハー ド ウェ ア 設 計 記述 の 形式 的 検 
証 手法 に つい て 解説 し て きま し た . 設計 効率 化 の た め , 現 
状 の RTIC register transfer level: レジ スタ 転送 レベ ル ) 
記述 より 上 位 の 設計 で , C 言 語 を ベー ス と し た 開発 手法 の 
導入 が 進み つつ あり ます . C/C++ で 記述 され た 設計 に 対 
する 検証 手法 と し て は , ソフ トウ ェ ア と し て の C プ ログ ラ 
ム を 検証 する 手法 の 応用 が 考え られ ます . 

今回 は この 観点 か ら , ハー ド ウェ ア の CC 言語 ベ ペース 設計 
記述 の 検証 に つい て 考え て いき た いと 思い ます . 


【 


@ ソフ トウ ェ ア ・ プ ログ ラム と し て の C 記 述 を 解析 
ソフ トウ ェ ア ・ プ ログ ラム の 解析 や 検証 に , 形式 的 手法 
を 適用 する 研究 は , プロ グラ ム と いう も の が 世に 出 て 以来 , 
ずっ と 続け られ て いま す . プロ グラ ム の 正 し さ が 重要 な ソ 
フト ウェ ア の 例 と し て , 例え ば Linux や Windows XP な ど 
の OS が あり ます . これ ら の ソフ ト ウェ ア は 数 百 万 数 千 
万 行 の 規模 で あり , これ ら に も 適用 可能 な 手法 で ある こと 
が 実用 上 は 重要 に な り ま す . し た が っ て , これ まで 説明 し 
て きた よう な モデ ル ・ チ ェ ッ キン ググ model checking) の 
技術 を C 言 語 の プロ グラ ム に 適用 する こと は , 研究 レベ ル 


モデ ル ・ チ ェ ッ キン グ , ハー ドウ ェ ア 
デッド ロッ ク , alloc, SAT 問題 


KeyWord 
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で は 活発 に 行わ れ て いま す が , 実用 的 に 使え る ツー ル と い 
う 観点 か ら は , あく まで ぞ 将来 の 技術 」 と いう 位置 付け 
な り ま す . 

ソフ ト ウェ ア 開 発 の 世界 で は , その よう な 一 般 的 な 仕様 
どじ し で の プロ パチ ティ] を チェ ウッ ク す ずる プロ パテ ィ ・ チェ ッ 
カ で は な く , 正しい プロ グラ ム と し て 満た すべ き 一 般 的 性 
質 を チェ ッ ク す る ,「 プロ グラ ム ・ チ ェ ッ カ 」 と 呼ば れる ツ 
ー ル が 広く 利用 され る よう に な っ て き て いま す . 

この プロ グラ ム ・ チ ェ ッ カ で 調べ られ る 性 質 は , C/C++ 
で ハー ド ウェ ア を 記述 する C ベ ー ス 設計 に お いて も 満た す 
べき も の で あり , と くに ハー ド ウェ ア ・ ソ フト ウェア 協調 
設計 で は , プロ グラ ム ・ チ ェ ッ カ は 利用 価値 の 高い ツー ル 
と な っ て いま す . そこ で 以下 で は , 現在 , すでに 広く 利用 
され て いる , ある い は 製品 化 さ れ て いる ツー ル を 中 心 に プ 
ログ ラム ・ チ ェ ッ カ の 機能 を 紹介 し , C/C++ に よる ハー 
ドウ ェ ア 設 計 記述 へ の 適用 が 可能 で ある こと を 説明 し て い 
きた いと 思い ま す . 


@ Lint ツー ル は 構文 の エラ ー を チェ ッ ク 
も っ と も 基本 的 な プロ グラ ム ・ チ ェ ッ カ と し て , Lint ツ 
ー ル が あり ます . Lint は , お も に C 言 語 で 書か れ た プロ グ 
に 対し て , 簡単 な 構 広 シン タッ クス ) の 解析 を 行う こ 
と で , あら か じ め 登 録 し て いる 満た すべ き 性 質 に 反し て い 

る 部 分 が な いか どう か を チェ ッ ク し ます . 
例え ば , 玖 タイ プ ) の 一 致し て いな い 関 数 呼び 出し や 使 
われ て いな い 変 数 , 初期 化 さ れ て いな い 変 数 を 使っ て いる 
箇所 , まっ た く 実行 され な い コ ー ド な ど を 検出 で きま す . 


・ ソ フト ウェ ア 協 調 設計 Lint プロ パテ ィ ・ チ ェ ッ キン グ , SpecC, 
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また , ある 所 で は 関数 の 戻り 値 を 使っ て いて , ほか の 所 で 
同じ 関数 を 呼び 出し て いる の に 関数 の 戻り 値 を 使っ て いな 
いと か , 逆 に 一 つの 関数 の 中 で , ある 所 で は 意味 の ある 値 
を returm し て いる の に , ほか で は 値 を 戻さ ず に return 
し て いる よう な 場合 を 検出 する こと も で きま す . さら に 
定義 され て いる の に 使わ れ て いな い 関 数 も 検出 可能 で す . 
これ ら の 機能 の いく つか は , コン パイ ラ で も 検出 可能 で 
あり , Lint は コン パイ ラ の チェ ッ ク 機 能 を より 強化 し た も 
の で ある と 言え ます . Lint は , お も に 記述 を 簡単 に 解析 す 
る だ け で 処理 で きる よう に 作ら れ て お り , その 意味 で 大 き 
な プロ グラ ム で も 実用 時 間 内 に 処理 する こと が で きま す . 
一 方 , 簡単 な チェ ッ ク で 処理 し て いる た め , あや し いと 
ころ は すべ て 警告 を 出す こと に な り ま す . 結果 と し て , 多 
数 の 警告 が 出さ れ , その うち の 大 多数 は 実は ほん と う の エ 
ラー で は な いと いう こと も よく 起こ り ま す . 出力 され る 警 
告 の うち , プロ グラ マ に と っ て むだ な 警告 を 少し で も 減ら 
す た め , プロ グラ マ 自 身 が 検出 する べき 箇所 を 指定 で きる 
機能 も 備わっ て いま す . し か し , 一 般 的 に は , プロ グラ マ 
に と っ て , あま り に も 多く の 警告 が 出さ れる た め , 出力 さ 
れ た 警告 が 重要 な も の か どう か の 判定 を プロ グラ マ が 行え 
な いと いう ケー ス も あり ます . ある い は , あま り に も 多く 
の 警告 が ある た め , その 中 の 少数 の 重要 な 警告 を プロ グラ 
マ が 見 逃し て し まう と いっ た こと も 起こ りえ ます . そこ で , 
むだ な 警告 を 少し で も 減ら す た め の 研究 が 長年 続け られ て 
お り , 実用 ツー ル と な っ て 製品 化 さ れ て いま す . 以下 で は , 
それ ら に つい て 説明 し て いき ます . 


matn () { 
1inE a, b: 
D =a+ 5: 


matn () { 
int a, Dj: 
if (cond) { 


( b) 制御 依存 も 考慮 すべ き 場 合 
図 1 変数 の 非 初期 化 の チェ ッ ク 


変数 の 値 を 利用 する 前 に , か な ら ず その 変数 を 初期 化す る 必要 が ある . これ 
は , 制御 依存 と デー タ 依存 の 関係 を 部 分 的 に 調べ る こと で 判定 で きる 
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人 各 文 の 問 の 依存 関係 を 現実 的 な 時 間 で 解析 

一 般 に , プロ グラ ム の 中 の 各 文 ある い は , 各 文 中 の 変 
数 ) に は , デー タ 依存 , お よび 実行 順に 関す る 制御 依存 が 
あり ます . また , C/C++ を な ん ら か の 方 法 で 拡張 し , 並 
列 処理 を 記述 し て いる 場合 に は , 並列 に 実行 され る 文 の 間 
の 実行 順 を 制御 する た め の イ ベン ト 信号 依存 も あり ます . 

これ ら の 依存 関係 は , 与え られ た C/C++ 記述 か ら , コ 
ン パ イラ 技術 な ど を 利用 する こと で , プロ グラ ム の 行 数 の 
1.5 乗 程度 に 比例 する 時 間 で 解析 する こと が で きま す . この 
た め , 比較 的 大 規模 な プロ グラ ム で も 現実 的 な 時 間 で 処理 
が 完了 し まず 処理 量 が 爆発 し な い ). 

プロ グラ ム ・ チ ェ ッ カ の 基本 は , これ ら の 依存 関係 を 解 
析 す る こと で , さま ざま な プロ パテ ィ が 満た され て いる か 
償 か を 調べ ます . その 際 に , 依存 関係 全体 を 解析 する の で 
は な く , 可能 な 限り , 部 分 的 に 解析 する こと で , 解析 時 間 
の 短縮 を 図っ て いま す . プロ グラ ム ・ チ ェ ッ カ は 任意 の プ 
ロ パ ティ を 検証 する も の で は な く , プロ グラ ム 記 述 に と っ 
て か な ら ず 満 た すべ き プ ロ パ ティ の いく つか を 自動 的 に 検 
証し て いく も の で す . 検証 で きる 典型 的 な プロ パテ ィ と し 
て , 以下 の も の が あり ます . 

e 変数 の 初期 化 が 行わ れ て いる か 

e 配列 へ の アク セス が 配列 の 大 き さ の 範囲 内 か 
enul と な っ て いる ポイ ンタ に アク セス し て いな いか 

e 並列 処理 の 場合 , 共有 変数 へ の アク セス 競合 は な いか 

基本 的 な 例 で 説明 し まし ょ う . 変数 の 値 を 利用 する 前 に 
か な ら ず そ の 変数 を 初期 化す る の は プロ グラ ミン グ の 基本 
で あり , すべ て の プロ グラ ム が 満た すべ き 性 質 で ある と い 
えま す . これ は , 図 1 に 示す よう に , 制御 依存 と デー タ 依 
存 の 関係 を 部 分 的 に 調べ る こと で 判定 で きま す . 

【 a) の 場合 , 変数 ぁ a が 利用 され て いる 人 箇所 の 前 に 変 
数 a へ の 代入 が ある か 人 否 か を 調べ れ ば , 変数 の 初期 化 を チ 
ェ ッ ク で きま す . この 場合 , その 変数 sa へ の デー タ 依存 は 
あり ませ ん . つま り , 初期 化 され て いな いと いう こと が わ 
か り ま す . また , 図 { b) の 場合 , 同じ 変数 a が 利用 され 
て いる 文 へ の デー タ 依存 が あり ます が , さら に 制御 依存 を 
た どっ て いく こと で , それ は if 文 の 中 で 行わ れ て いる こ 
と が わか り ま す . し た が っ て , この 場合 , 変数 a は 初期 化 
され る 場合 ある し , され な い 場 合 も ある , つま り , バグ 
の 可能 性 が ある と 判定 され ます . 


人 @ 解析 時 間 と 解析 の 正確 さ に は トレ ー ド オフ の 関係 が ある 

さて , ここ で 重要 な こと が あり ます . それ は , プロ グラ 
ム ・ チ ェ ッ ク を 行う 場合 , どの 程度 依存 関係 を 解析 する か 
で す . 図 【 a) の 場合 , 変数 sa を 使っ て いる 文 へ の デー タ 
依存 は まっ た く な い の で , 変数 a が 初期 化 さ れず に 利用 さ 
れ て いる こと は 明らか で す . し か し , 図 【 b) の 場合 , 変 
数 as が 利用 され て いる 文 へ の デー タ 依存 は 存在 し ます . し 
た が っ て , この まま 解析 を 終了 する と , 変数 a は 初期 化 さ 
れ て いる と 判断 し て し まい ます . し か し , デー タ 依存 が 出 
て いる 文 の 制御 依存 を さら に 調べ て いく と , if 文 の 中 に あ 
る こと が わか る の で , 変数 a の 初期 化 は if 文 の 条件 し だ 
いと いう こと に な り ま す . 

に 図 て c) を 見 て くだ さい . この 場合 に も , 変数 a の 
語 iD の に PO 
な り ま す . た だ し , 図 K b) と 違っ て , 二 つ の if 文 の 条件 
を 解析 する と , すべ て の 場合 を 網羅 し て いる こと が わか り , 
実際 に は いつ も 初期 化 さ れ て いる こと に な り ま す . 

この よう に , 正確 に 解析 する た め に は , if 文 な ど を 考慮 
する , つま り , プロ グラ ム の 実行 パス を 考慮 し て 解析 する 
必要 が あり ます . また , 関数 の 場合 , そ の 関数 が どの 文 か 
ら 呼ば れ た か に も 解析 結果 は 依存 し ます . これ ら を 完全 に 
考慮 する と な る と , 厳密 に は , プロ グラ ム の 先頭 か ら す べ 
て の 実行 パス を た どり な が ら 解析 する こと に な り , 依存 関 
係 を 部 分 的 に 解析 する と いう わけ に は いき ませ ん . この よ 
うに する と , 通常 の プロ パテ ィ ・ チ ェ ッ キン モデ ル ・ 
チェ ッ キ ング ) と 同じ 手間 が か か り , 大 規模 プロ グラ ム に 
は 適用 不可 能 で す . 

そこ で , 実際 の ツー ル で は , 可能 な 限り , 部 分 的 な 解析 
で 済ま す と いう こと と , 解析 の 正確 さ に 配慮 し て プロ グラ 
ム の 実行 パス を 考慮 する と いう こと の ト レー ド オフ を 検討 し 
な が ら 処 理 し て いく こと に な り ま す . 実際 , 検証 する プロ 
パテ ィ を 制限 する こと に より , プロ グラ ム の 実行 パス を か 
な り 考慮 で きる 手法 が , 商用 ツー ル で も 実現 され て いま す . 


⑱ デッド ロッ ク や 並列 プロ セス の アク セス 競合 を 検出 
プロ グラ ム ・ チ ェ ッ カ に と っ て , 並列 動作 を 伴う プロ グ 
ラム の 検証 も 重要 な 目的 で あり , 処理 が 進ま な く な る デ ッ 
ドロ ッ ク の 検出 や , 並列 プロ セス 間 の 共有 変数 へ の アク セ 
ス 競 合 の チェ ッ ク な ど が , 対象 と する プロ パテ ィ に な り ま 
す . この 種 の プロ パテ ィ の 検証 は , 一 般 の モデ ル ・ チェッ 
カ が 扱う も の で す が , モデ ル ・ チェッカ が 初期 状態 か ら す 
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べ て の 可能 な 状態 を 探索 する 《 プロ グラ ム の こと ば で 言う 
と , プロ グラ ム の 最初 か ら す べ て の 実行 パス に つい て , す 
べ て の 可能 な 変数 の 値 に つい て 調べ る ) の に 対し て , プロ 
グラ ム ・ チ ェ ッ カ は 可能 な 限り , 部 分 的 な 解析 を 行い ます . 
合 果 的 に 大 規模 プロ グラ ム に も 適用 可能 で ある 場合 が 多い 
の で す が , その 一 方 で , 解析 の 精度 が プロ パテ ィ ・ チェッ 
カカ に 比べ る と 落ち る こと に な り ま す . 

例 を 図 2 に 示し ます . 通常 の C/C++ の まま で は 並列 動 
作 を 記述 で き な い の で , 図 2 で は SpecC 言 語 で 表現 し て い 
ます . SpecC で は , par 文 を 利用 し て 並列 プロ セス を 起動 
し ます . また , 並列 プロ セス 間 の 実行 の 順序 付け を 行う た 
め に , 通常 , イベ ント を 利用 し た 通信 と し て , wait 文 や 
notify 文 が 利用 され ます . wait(e) と いう 文 は 
noity(e) と いう 文 が 実行 され る まで 実行 を 待ち ます . 
つの プロ セス で wait (e) の 文 が 実行 され , も う 一 つの プ 
ロ セ ス で noctify(e) の 文 が 実行 され る と する と , 
wait (e) 以降 の 文 の 実行 は , か な ら ず notify (e) 以前 の 
文 の 後に 実行 され る こと を 保証 する こと が 可能 で す . これ 
は , 共有 変数 へ の アク セス 競合 の 回 避 に 利用 され ます . 

し か し , notifEy 文 と wait 文 が 適切 に 配置 され て いな い 


GeVen 6: 
1m も E Y。 豆 け 
boo1 cond: 


behavior B1 () { 
vo1d main(vo19) { 
Wai (6) 
Z = 2 * 
1 
7 


behavior B2() { 
vo1d main(vo19g) { 
Y = 5: 
ュ f (cond ) 
not1fy(e) : 


0 制御 依存 図 
ー デー タ 依存 図 | 


behavior Main(){ | ー イ ベン ト 信号 依存 
B1 b1: 


B2 b2: 


vo1d main(vo19g) { 
Cond = 0: 
par{ 
b1 .main() 
b2 .main() : 


図 2 並列 処理 に つい て の チェ ッ ク 

SpecC 言語 で は , par 文 を 利用 し て 並列 プロ セス を 起動 する . また , 並列 
プロ セス 間 の 実行 の 順序 付け を 行う た め に , イベ ント を 利用 し た 通信 と し て , 
wait 文 や notify 文 を 利用 する . 
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場合 , 例え ば watt 文 は か な ら ず 実行 され る が , notify 文 
が 実行 され な い 可 能 性 が ある 場合 に は , デッド ロック が 起 
こる ケー ス が ある こと に な り ま す . 2 の 場合 , notify 
文 と wat 文 の 間 の 依存 関係 を 計算 し , 図 1 の 場合 と 同じ 
よう に 制御 飲 存 に つい て 解析 する こと で , その よう な 場合 
が 起こ りう る か を 解析 する こと に な り ま す . 

一 般 に , 並列 に 動作 する プロ グラ ム の 間 の 共有 変数 へ の 
アク セス 競合 や 処理 の デッド ロッ ク の 可能 性 判定 を 行う こ 
と ば 同期 検証 ] と 呼ば れ て いま す . ちょ っ と し た ミス で こ 
の 種 の バグ が 入り 込む の が 並列 プロ グラ ム で すか ら , 実用 
上 は 非常 に 重要 な 技術 で ある と いえ ます . プロ グラ ム ・ 
チェ ッ カ で は , 制御 依存 , デー タ 依存 , それ に wait 文 や 
notify 文 に 関係 する イベ ント 信号 依存 を 部 分 的 に 解析 す 
る こと で , か な り の 場合 に つい て , 大 規模 プロ グラ ム の チ 
ェ エッ ク を 行う こと が で きま す . 


人 @ 値 の 範囲 の 制限 か ら バ ッ フ ァ ・ オ ー バ フロ ー を 検出 

セキ ュ リ ティ 上 の 重要 な プロ パテ ィ と し て , バッ ファ ・ 
オー バフ ロー の 検出 が あり ます . これ は 大 き な バ グ で , ソ 
フト ウェ ア だ け で な く , ハー ド ウェ ア を 実装 する 場合 
オー バフ ロー を 起こ す と 処理 を 続行 で き な く な り ま す . バ 
ッ フ ァ ・ オーバ フロ ー オー バラ ン ) の チェ ッ ク に つい て , 
ここ で は , C 言 語 で よく 起こ る 文字 列 の 扱い に つい て 考え 
ます . 

まず , 解析 に 利用 する 変数 を 定義 し ます . a11oc (st エ 
ing) と いう 表現 で , 変数 buf に 割り 当て られ た バイ ト 数 
の 下限 と 上 限 を 表現 し ます . また , 1en (buf) で 変数 buf 
が 実際 に も O 文 字 列 の バイ ト 数 の 下限 と 上 限 を 表現 し ます . 
実際 に 利用 で きる 領域 は 確保 し て ある 領域 で な けれ ば な 
り ま せん か ら , 以下 の 関係 が 成立 し な けれ ば な り ま せん . 


a11oc(buE) 全 1en(buf ) 


より 正確 に 言う と , a11oc(buf) の 値 の 範囲 信 a,b] で 


リス ト 1 バッ ファ ・ オ ー バ フロ ー の 検出 


char bufF [128] : 
whi1e (fgets(buE, 128, stdin) ) { 
FE (!gstrohr(buf, !\n')) { 
char dst [128] : 
DF1nF (ds, "errOr: を 8\m", DUuF) : 


2: 
3 
4: 
に 
6: 
7 
8: 
9.3 
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あり ( a11oc (buf ) の 下限 が a で , 上 限 が b), 1en (buf ) 
に つい て 叶 c,d] で ある ( 1en (buf ) の 下限 が c で 上 限 が 
d) と する と , b 主 Cc なら オー バフ ロー する こと は 決し て あ 
り ま せん . また , ad で ある と する と , いつ も オー バフ 
ロー する こと に な り ま す . 値 の 範囲 で ある [ a,b] と [ c,q] 
が オー バラ ッ プ し て いる と , バッ ファ ・ オ ー バ フロ ー す る 
可能 性 が あり ます . 

この よう に 値 の 範囲 に 対す る 制限 を プロ グラ ム か ら 抽出 
し て , 値 の 範囲 - オ ー バ ラッ プ が ある か 否 か を チェ ッ ク す 
れ ば , バッ ファ ・ オ ー バ フロ ー が 起き る 可能 性 に つい て 詩 
る と が で きま す , 

例 と し て , リス ト 1 の プロ グラ ム を 考え まず 説明 の た 
め に , 各行 の 最初 に 番号 が 入れ て ある ). この プロ グラ ム 
の 各行 か ら 抽出 され る 制限 は , リス ト 2 の よう に な り ま す 
( 最初 の 番号 が プロ グラ ム の 対応 する 行 番号 か ら 得 ら れる 
制限 で ある こと を 示し て いる ). 5 行 目 で は , エラ ー・ メ ッ 
セー ジ の 分 だ け , qst が buf より 大 きく な けれ ば な り ま せ 
ん . 

まず , 1 行 目 と 4 行 目 で す が , これ は 変数 の 宣言 か ら , そ 
の 変数 に 割り 当て られ た 領域 に 関す る 制限 が 表現 され て い 
ます . それ ぞ れ 128 に 固定 され ます . また , 2 行 目 で は , 
fgets に より 標準 入力 か ら 文字 列 を 読み 込ん で いる の で , 
変数 buF の 実際 の 文字 列 の 長 さ は , 最小 1, 最大 128 と な 
り ま す . 5 行 目 で は , buE に エラ ー・ メ ッ セ ー ジ を 追加 し 
て dst に 出力 し て いる の で , 上 の よう な 関係 が 成立 し ます . 
リス ト 2 の 四 つ の 制限 が すべ て 満た され る と いう 条件 で , 
各 文 字 列 変数 に つい て の , 実際 の 文字 列 の 長 さと 割り 当て 
られ た 領域 が 満た すべ き 関 係 は , 以下 の よう に な り ま す . 


1en (buf) 王 al11oc(buf) , 
1en (dst) 全 a11oc (ds) 


これ が いつ も 成立 する か どう か を チェ ッ ク す る こと が, 
プロ グラ ム ・ チェ ツ カ の し ご と と な り ま す 、 buf に つい て 
は 問題 あり ませ ん が , dst に つい て は , al11oc (dst) の 値 
128 を 1en (dst) が 超え る 可能 性 が ある こと が わか り , バ 


リス ト 2 リス ト 1 か ら 抽 出さ れる 制限 


[128, 128] 己 a11oc(buf ) 
[1, 128] 1en (buf ) 


選 
[128, 128] 弓 a11oc(dst) 
己 


1en (buf ) +8 1en (dg ) 


E1: 2 重 Eree エ ラー E2: 不法 な p へ の 較 
アク セス : エラ ー 


図 3 ポイ ンタ 変数 の 2 重 free の チェ ッ ク 


割り 当て た 変数 の 領域 を 開放 する 操作 Eree を 2 重 に 行っ て し まわ な いか ど 
うか を チェ ッ ク す る た め に , ルー ル を 記述 し た . 


陸 が プロ グラ ム ・ チ ェ ッ カ に 


ッ フ ァ ・ オー バフ ロー の 可能 
よっ て 指摘 され ます . 

以上 の 例 は 制御 が 簡単 な 場合 で し た が , 制御 が 複雑 な 場 
こ は , ある 程度 , 制御 依存 や デー タ 依存 を た どっ て 解析 
し て いく 必要 が あり ます . 


@ ルー ル を 記述 し て 多種 多様 な プロ パテ ィ を 一 括 チ ェ ッ ク 

以上 の 話 は , チェ ッ ク す る プロ パテ ィ ご と に アル ゴリ ズ 
ム を 考え る と いう 立場 で し た が , それ で は チェ ッ ク で きる 
プロ パテ ィ の 種類 を 増やす こと は 容易 で は あり ませ ん . そ 
こ で , 調べ た い プ ロ パ ティ を チェ ッ ク す る 方 法 を ルー ル の 
形 で 記述 し て 検証 で きる プロ グラ ム ・ チ ェ ッ カ も あり ます . 

簡単 な 例 と し て , 割り 当て た 変数 の 領域 を 開放 する 操作 
free を 2 重 に 行っ て し まわ な いか の チェ ッ ク を 考え ます . 
この 場合 の ルー ル は 図 3 の よう に な り ま す . プロ グラ ム の 
各 実 行文 ど と に , この ルー ル に 対応 する 状態 遷移 図 上 の 状 
態 が どの よう に 変化 する か を 調べ て いき , エラ ー 状 態 に 陥 
れ ば プロ グラ ム に 問題 が ある と し ます . 
剛 と し て , リス ト 3 の プロ グラ ム を 考え まず // 以降 は 
3 の ルー ル の 状態 を 示し て いる ). リス ト 3 の 6 行 目 と 8 
行 目 で エラ ー が 起き る 可能 性 が ある こと が , 図 3 の 状態 か 
ら わ か り ま す . この 場合 は わか りや すい まち が いな の で , 
簡単 に 検出 で きま す . 制御 が より 複雑 に な る と , 今 ま で と 
同じ よう に ある 程度 複雑 な 解析 が 必要 に な る ケー ス も あり 
ます . 

以上 の よう な 手法 を 実際 に ツー ル と し て 製品 化し た 企業 
と し て , 米国 Coverity 社 や 米国 Fority Software 社 , 米国 
Ounce Labs 禄 Prexis), 米国 Secure Software 神 Code 
Assure), 米国 Application Defense 社 , 米国 SPI Dynamics 
社 な ど が あり ます . それ ぞ れ の ツー ル に は 特徴 が あり , ま 
た , 使い こなし の テク ニッ ク も 重要 な の で , 導入 し て すぐ 
に 成果 を 上 げ る に は それ な り の 試行 錯誤 が 必要 で す . し か 


本 検証 技術 入門 | 


リス ト 3 ルー ル を 記述 し て プロ パテ ィ を チェ ッ ク 


1nt *Dz 
p = ma11oo(sizeoF (in) ) : 
*D ニニ 7: 
Free (D) : 
所 Co 9 北 
ォ *Dp = 110: 
) e1se { 
free (D) : 


ム ら Oo ココ の ロロ RODO ロ 


Void fF(int a, nt b) 
1nE oz 
C=ag D: 
a88er (C == a): 


図 4 と プログラム の SAT 式 へ の 変換 


各 整 数 変数 に 対し て , その ビッ ト 幅 で ある 32 個 の 論理 変数 を 割り 当て れ ば , 
プロ グラ ム の 記述 を 右 の よう に 論理 式 に 変換 で きる . assert 文 が 成立 する 
か 否 か の 判定 は , mr が 1 に な る か な ら な いか で 判定 で きる . 


し , これ ら の ツー ル を 利用 し て Linux カー ネル の バグ な ど , 
実際 に 利用 され て いる プロ グラ ム の バグ を 多数 発見 で き て 
いる の も 事実 で す . と くに , 図 3 の よう な ルー ル で 表現 さ 
れ た プロ パテ ィ を 検証 で きる ツー ル の 場合 に は , ハー ドウ 
ェ エア 設 計 に 利用 する C/C++ 記述 に 対し て 適切 な ルー ル を 用 
意 す る こと で , うま く チ ェ ッ ク で きる こと が 多々 あり ます . 


⑯ プロ グラ ム を SAT に 変換 ・ 解 析 す る 手法 が LSI 設計 へ 

最後 に , プロ パテ ィ ・ チェ ッ カ な ど で 利 用 され て いる 論 
理 式 の 充足 可能 性 判定 問題 SAT 問題 ) に 帰着 し て プロ グ 
ラム ・ チェッ ク を 行う 手法 の 研究 状況 に つい て , 簡単 に 形 
明 し た いと 思い ます . 以前 に も 述べ まし た が , SAT ソ ル バ 
は 近年 大 きく 進歩 し て いま す . これ を うま く 利用 する こと 


で , 実用 規模 の プロ グラ ム の 検証 を 行 お うと いう 研究 が 活 


発 に 進め られ て いま す . 
話 を 簡単 に する た め , ここ で は プロ グラ ム 中 の 変数 は 整 
数 型 で ある と し ます . ハー ド ウェ ア 設 計 記 述 の 場合 , 整数 


変数 と 論理 型 の 変数 だ けが 利用 され る こと も 多い と 思い ま 
す . する と , NIS 
論理 式 の 関係 に 変換 する こと が で きま す . 各 整 数 変数 に 
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G= テ o, x:[ asi…ao] 図 


G= テ ーc, x:[ ps1…po] 図 


G=cV つ oc (true), *:[ vs1…vo] 


た だ し ぃ ヌコ c 人 Aa)V TcA5p》【 
図 5 制御 フロ ー の 表現 
プロ グラ ム の 中 に if 文 な どの 条件 文 が ある 場合 は , ガー ド と 呼ば れる 条件 
を 各 変 数 の 値 に 付け 加え る . ガー ド が 1' に な る 場合 に 対応 する 値 を と る と 
考え る . 


し て , その ビッ ト 幅 で ある 32 個 の 論理 変数 を 割り 当て れ 
ば , プロ グラ ム の 記述 を 図 4 の 右 の よう に 論理 式 に 変換 で 
きま す . 図 4 で は , assert 文 が 成立 する か 否 か の 判定 は 
F が 1 に な る か な ら な いか で 判定 で きま す . 
プロ グラ ム の 中 に if 文 な どの 条件 文 が ある 場合 は , 図 5 
に 示す よう に ガー ド と 呼ば れる 条件 を 各 変数 の 値 に 付け 加 
えま す . ガー ド が 1 2 
える わけ で す . then と e1se の それ ぞ れ の 場合 に つい て ガ 
2 ガー ド 
は 条件 な し と な り , その 代わ り に v が 条件 c を 含め て 定義 
され て いる こと に 注意 し て くだ さい . 

また , ポイ ンタ が 含む プロ グラ ム の 場合 に は , 図 6 に 示 
す よ うに , 各 ポ イン タ 変数 が どこ を 指す 可能 性 が ある か を 
列挙 する よう に し ます . ポイ ンタ 変数 が どこ を 指す か に つ 
いて , その 場所 と そこ を 指す 条件 を ペア の 形 で 表現 し ます . 

以上 の よう に すれ ば , 与え られ た プロ グラ ム を SAT 式 
に 変換 で きま す . そし て 生成 され た SAT 式 を 解析 すれ ば 
一 般 の モデ ル ・ チ ェ ッ キン グ を 行う こと が で きま す . た だ 
し , この 場合 は , 数 百 一 数 千 行 程度 の プロ グラ ム ・ サ イズ 
が 解析 で きる 限界 に な り ま す . そこ で , 図 3 に 示し た 状態 


G=true, p:{( true, %} 図 


G= テ c, p:(( true, の ) 図 


G=true, p:t(( co の:( つ co, の } 
図 6 ポイ ンタ の 表現 
ポイ ンタ が 含む プロ グラ ム の 場合 に は , 各 ポ イン タ 変 数 が どこ を 指す 可能 
が ある か を 列挙 する . ポイ ンタ 変数 が どこ を 指す か に つい て , その 場所 と そ 
こ を 指す 条件 を ペア の 形 で 表現 する . 


遷移 図 に よる プロ パテ ィ 解析 の ルー ル と 併用 する こと で , 
SAT 式 を 大 幅 に 簡略 化し て 検証 する 手法 が 研究 され て いま 
す . その 初期 評価 結果 に よる と , 600 万 行程 度 の Linux ソ 

に 対し て , 数 十 の ワー クス テー ショ ン 上 で 実行 する こ 
と で , 1, 2 時 間 程 度 で いく つか の プロ パテ ィ が 検証 で きる 
こと が 実証 され て いま す . また , 実際 に いく つか の バグ も 
検出 で き て いま す . 

この よう な 手法 は , 今後 、 シ ステ ム ・ レ ベル の LSI 設計 
に も 順次 適用 され て いく と 考え られ ます . 
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開発 スタ ー ト アッ プ 


ロエン ジニ ア の た の 抽 み あみ 張 入 円 


知識 を し っ か り と 学び た い 方 の た め に , 


IT エン ジニ ア の た め の 組 み 込 み 技 術 入門 


組み 込み ソフ トウ ェ ア 開 発 ス ター ト ア ッ プ 
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パソ コン 上 で 動作 する アプ リケーション ・ ソ フト ウェ ア を 開発 する の で あれ ば , CPU や メモ リ に 関す る 知識 が な く て も プ 
ログ ラム を 作れ ます . 一 方 , 機器 に 組み 込む 制御 ソフ トウ ェ ア ( いわ ゆる 組み 込み ソフ ト ウェ ア ) を 開発 する に は , ソフ トウ 
ェ ア の 動作 原理 や CPU, メモ リ と いっ た ハー ド ウェ ア の 知識 が 必要 に な り ま す . また , 開発 の 全体 像 を 把握 する と いう 意味 
で , テス ト や モデ リン グ に 関す る 知識 も 重要 で す . 

本 書 は , 組み 込み ソフ ト ウェ ア 開 発 の 入門 書 で す . この 分 野 に こ れ か ら 取り 組む 方 や , すでに 取り 組ん で いる が 基本 的 な 
わか りや すく 解説 し て いま す . 
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